io uso tor e non lascio tracce! sei proprio sicuro?
TRANSCRIPT
![Page 1: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/1.jpg)
IO USO TOR E NON LASCIO TRACCE! SEI PROPRIO SICURO?
MATTIA EPIFANI
![Page 2: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/2.jpg)
UTILIZZO DEI SISTEMI DI ANONIMATO
Anonimato su Internet
Per ragioni di
Privacy and Safety
Cyber Crime and Traditional Crime (e.g. Drug)
Diverse tecniche e strumenti:
Proxy
Teste di ponte
TOR
![Page 3: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/3.jpg)
RETE TOR – TORPROJECT.ORG
![Page 4: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/4.jpg)
TOR – SCENARIO CLASSICO
web server
TOR
Internet
client
cifratoin chiaro
Sito web con contenuti illeciti
Necessità di identificare gli utenti che vi si connettono
![Page 5: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/5.jpg)
TOR USER C&C
Un possibile approccio informatico
Hack back!?
Prevede:
Web Server: modifica della risposta del server sulla specifica risorsa
Collaborativo, civetta, ISP, hack
L’utilizzo di BeEF (The Browser Exploitation Framework)
Tor Browser Bundle lato client
![Page 6: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/6.jpg)
TOR USER C&C
web serverbeefed
Beef Hook server
Beef C&C
1. Web server beefed
2. Client si connette al server web e ne riceve la pagina con il riferimento all’hook js
3. Il browser del client scarica l’hookjs dal sever beef
4. Hook viene eseguito
5. L’hook fa sì che il browser del client si connetta al Beef c&c
6. Landing now
12
clientTorBundle
3
4
TOR
5
62
3
1
![Page 7: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/7.jpg)
TOR USER C&C
beefed
Beef C&C
![Page 8: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/8.jpg)
TOR C&C
![Page 9: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/9.jpg)
TOR C&C
![Page 10: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/10.jpg)
TOR C&C
![Page 11: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/11.jpg)
TOR C&C
![Page 12: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/12.jpg)
TOR C&C
![Page 13: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/13.jpg)
![Page 14: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/14.jpg)
STRUMENTI PER L’ACCESSO ALLA RETE TOR
![Page 15: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/15.jpg)
TOR BROWSER BUNDLE
Il Tor Browser può essere utilizzato su:
Windows
Mac
Linux
Una volta scaricato dal sito può essere eseguito:
Da computer
Da Pen Drive/Hard disk esterno
![Page 16: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/16.jpg)
FORENSIC ANALYSIS OF THE TOR BROWSER BUNDLE
Una interessante ricerca del 2013 è già disponibile (Runa Sandvik)
Forensic Analysis of the Tor Browser Bundle on OS X, Linux,
and Windows
https://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
La nostra ricerca è mirata a confermare i risultati già raggiunti e individuare nuovi elementi di interesse
![Page 17: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/17.jpg)
TOR BROWSER BUNDLE
![Page 18: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/18.jpg)
![Page 19: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/19.jpg)
CARTELLA TOR BROWSER
Le cartelle più interessanti sono:
\Data\Tor \Data\Browser
![Page 20: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/20.jpg)
CARTELLA \DATA\TOR
State: contiene la data di ultima esecuzione
Torrc: contiene il percorso da cui è stato eseguito TOR comprensivo della lettera di unità
![Page 21: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/21.jpg)
CARTELLA \DATA\BROWSER
Contiene la tradizionale cartella del profilo di Firefox, ma senza tracce di utilizzo (cronologia, cache, ecc.)
I file più interessanti sono Compatibility.ini e Extension.ini che contengono nuovamente il path di esecuzione dell’applicazione
![Page 22: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/22.jpg)
BOOKMARKS
L’unica informazione presente sono eventuali bookmarks salvati dall’utente (file Places.sqlite)
![Page 23: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/23.jpg)
ANALISI DEL SISTEMA OPERATIVO
Informazioni sull’utilizzo di TOR si riscontrano in:
Prefetch file TORBROWSERINSTALL-<VERSION>-<PATH-HASH>.pf
Prefetch file TOR.EXE-<PATH-HASH>.pf
Prefetch file START TOR BROWSER.EXE-<PATH-HASH>.pf
NTUSER.DAT registry hive User Assist key
BookCKCL.etl e Windows Search Database
Pagefile
![Page 24: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/24.jpg)
FILE DI PREFETCH
Possiamo identificare:
Data di installazione
Data di prima esecuzione
Data di ultima esecuzione
Numero di esecuzioni
![Page 25: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/25.jpg)
USER ASSIST
Possiamo recuperare:
Data di ultima esecuzione
Numero di esecuzioni
Percorso di esecuzione
Analizzando i diversi file NTUSER.DAT presenti nelle VSS (Volume Shadow Copies) possiamoverificare il numero di esecuzioninel tempo
![Page 26: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/26.jpg)
BOOKCKCL.ETL E WINDOWS SEARCH DATABASE
Se l’utente ha rimosso le tracce del sistema operativo in modo sicuro possiamo ancora recuperare qualche informazione…
Dalla presenza dei nomi dei file di Prefetch possiamo almeno dire che Tor Browser è stato utilizzato su quel computer
![Page 27: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/27.jpg)
PAGEFILE.SYS
Area del hard disk riservata e utilizzata come estensione dellamemoria RAM
Attivato di default in Windows
Viene creato dal sistema un file grande quanto la memoria RAM disponibile
![Page 28: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/28.jpg)
PAGEFILE.SYS
Qui possiamo trovare informazioni relative aisiti web visitati!
E’ necessario utilizzare la keywordHTTP-memory-only-PB
![Page 29: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/29.jpg)
ANALISI DEL PAGEFILE – BULK EXTRACTOR
![Page 30: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/30.jpg)
HTTP-MEMORY-ONLY-PB
Tor Browser utilizza la funzionalità di Private Browsing di Mozilla Firefox
HTTP-MEMORY-ONLY-PB è la funzione utilizzata da Mozilla Firefox per la gestione dei file di cache in modalità Private Browsing e che si occupa di non salvare i file su disco ma tenerli in RAM
Tipicamente la versione più recente di Tor Browser è antecedente allaversione più recente di Firefox
Per distinguere quindi se l’attività di navigazione è stata fatta con Firefox o con Tor Browser:
Verifico se Firefox è installato nel sistema
Se è installato, verifico la versione
![Page 31: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/31.jpg)
![Page 32: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/32.jpg)
![Page 33: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/33.jpg)
![Page 34: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/34.jpg)
ANALISI DEL PAGEFILE – INTERNET EVIDENCE FINDER
![Page 35: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/35.jpg)
ANALISI DEI DUMP DI MEMORIA
Se ho a disposizione un DUMP di memoria posso usare software come Volatility o Rekall
Pslist
Psscan
Netscan
Procmemdump
Oppure fare una ricerca per parola chiave
Tor
Torrc
Geoip
Torproject
URL dei siti web visitati
![Page 36: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/36.jpg)
DUMP DI MEMORIA – TOR AVVIATO - PSLIST
![Page 37: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/37.jpg)
DUMP DI MEMORIA – TOR AVVIATO – CONNECTIONS
![Page 38: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/38.jpg)
DUMP DI MEMORIA – TOR CHIUSO - PSLIST
![Page 39: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/39.jpg)
DUMP DI MEMORIA – TOR CHIUSO - CONNECTIONS
![Page 40: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/40.jpg)
HIBERFIL.SYS
Il file hiberfil.sys è il file di ibernazione di Windows
Contiene un «dump» della memoria RAM del momento in cui il computer è stato «ibernato»
L’analisi del file hiberfil.sys ci permette di «tornare indietro nel tempo»
Posso convertirlo in un dump di RAM (plugin imagecopy di Volatility)
Posso analizzarlo utilizzando
Volatility (pslist, psscan, connections, ecc.)
Rekall
Ricerca per keyword
![Page 41: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/41.jpg)
METODOLOGIA DI ANALISI
• Data di installazione
• Data di prima esecuzione
• Data di ultima esecuzione
• Numero di esecuzioni
Prefetch files
• Percorso di esecuzione
• Data di ultima esecuzione
• Numero di esecuzioni
• Analisi temporale del numero di esecuzioni in un periodo temporale (VSS)
NTUSER\UserAssist key
• BookCKCL.etl
• Thumbnail Cache
• USRCLASS.DAT registry
• Windows Search Database
Altri possibili artifacts
• HTTP-memory-only-PB
• Torproject
• Tor
• Torrc
• Geoip
• Torbutton
• Tor-launcher
Pagefile.sys (keywords search)
• Convertire a memory dump
• Analizzare utilizzando
• Volatility
• Rekall
• Keywords search (vedi Pagefile.sys)
Hiberfil.sys
![Page 42: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/42.jpg)
TAILS
![Page 43: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/43.jpg)
ICEWEASELS
![Page 44: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/44.jpg)
TAILS - ANALISI DELLE TRACCE
E’ un sistema live Lavora direttamente in RAM
Nessuna traccia su hard disk!
Unica possibilità: acquisire la RAM mentre il computer è ancora acceso
Recupero unicamente le informazioni della esecuzione attuale
![Page 45: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/45.jpg)
PROSSIME ATTIVITA’ DI RICERCA
E’ possibile individuare riferimenti temporali?
Cosa succede in altri ambienti operativi?
Mac OS X
Linux
Android
Test con altri strumenti opensource
Page brute
Rekall
![Page 46: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/46.jpg)
PAGE BRUTE
![Page 47: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/47.jpg)
REKALL E PAGEFILE
![Page 48: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/48.jpg)
TOR - RIFERIMENTI
Tor Projecthttps://www.torproject.org
Tor2Webhttps://www.onion.to/http://tor2web.org/
HideMyAsshttp://www.hidemyass.com/
The Onion Router (Wikipedia)http://it.wikipedia.org/wiki/Tor_(software)
Forensic Analysis of the Tor Browser Bundle on OS X, Linux, and Windowshttps://research.torproject.org/techreports/tbb-forensic-analysis-2013-06-28.pdf
FORENSIC MEMORY DUMP ANALYSIS AND RECOVERY OF THE ARTIFACTS OF USING TOR BUNDLE BROWSEhttp://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1121&context=adf
Detecting Tor Communication in Network Traffichttp://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
![Page 49: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/49.jpg)
DFA – DIGITAL FORENSICS ALUMNI
Digital ForensicsAlumni (DFA)
DFA nasce nel 2009 da una
iniziativa di ex corsisti del Corso di Perfezionamento in "Computer
Forensics ed investigazioni digitali"
dell'Università degli Studi di Milano.
La multidisciplinarietà dei suoi
componenti (giuristi, tecnici, investigatori, ecc) ha permesso di
creare una realtà di condivisione di
esperienze e idee.
• eventi di aggiornamento
formativo e di
approfondimento gratuiti
ed aperti al pubblico;
• servizio di newsletter
mensile sulle ultime novità
della Digital Forensics, per
rimanere aggiornato su
nuove release di software e
tecniche di analisi, review
di nuovi paper pubblicati,
aggiornamenti dalle più
importanti conferenze
internazionali, contributi
giuridici, dottrina sul tema
ed altro ancora..
www.perfezionisti.it
![Page 50: Io uso Tor e non lascio tracce! Sei proprio sicuro?](https://reader034.vdocuments.net/reader034/viewer/2022052623/559c02a91a28ab2c7f8b4571/html5/thumbnails/50.jpg)
Q&A?
Mattia Epifani
Digital Forensics Analyst
DFA – Digital Forensics Alumni Association
CEO @ REALITY NET – System Solutions
GCFA, GMOB, GREM
CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail [email protected]
Twitter @mattiaep
Linkedin http://www.linkedin.com/in/mattiaepifani
Blog http://blog.digital-forensics.it
http://mattiaep.blogspot.it